XDR導入に向け、準備すべき3つの検討事項

XDReXtended Detection Response導入について検討されていますか?マカフィーは、XDR技術の第一弾となるMVISION XDRの本格展開について、最近(2021年1月)発表しました。XDRの機能が利用可能になると、企業は検出と対応のための機能を強化することを目的とした、新たなセキュリティオペレーションテクノロジーを採用する方法を検討する必要があります。XDRは、人にとっても組織にとっても旅のようなものです。

マカフィーのXDRは、XDR機能がMVISION EDRMVISION Insightsのプラットフォーム上に構築されており、他のマカフィー製品やサードパーティ製品に拡張されています。これは、マカフィーをご利用のお客様にとっては、XDRの旅がすでに始まっていることを意味します。

XDRの背後にある中核的な価値にもとづく提案は、脅威の状況が猛威を振るう中、限られたスタッフとリソースで、依然として大きな負担をかけられているSecOpsを強化することです。この方向性への要望の声は今に始まったことではありません。Ten Strategies of World-class Cybersecurity Operations Centerという書籍に書かれているように、 「適切なツールがあれば、優秀なアナリスト1人で100人分の管理が可能」であり、XDRが最適解になり得ます。

SecOpsのエンパワーメントとは、人々とプロセスにポジティブな影響を与えて変化させることによって、さらに安全な環境をもたらすことです。企業はこの有益な変化を検討し、準備を進める必要があります。企業が認識し準備すべき3つの重要な検討事項についてご紹介します。


企業が準備すべき3つの検討事項

1.すべての経路におけるセキュリティコントロールとデータを調和させることの優位性

XDRの基本的な要件は、セキュリティ管理とデータを統一して集約し、状況認識を高めることです。ここで、エンドポイント、ネットワーク、Webなどのサイロ化された機能にとって、これが何を意味するか考えてみましょう。例えば、あなたがアナリストで、通常は別々のコントロールポイント(エンドポイント、ネットワーク、ウェブ)から遠隔測定を行い、ログインして各ツールから別のツールに移動し、またログインして別のツールに移動する、という作業を行っているとします。あるいは、エンドポイントのツールにしかアクセスできない場合もあるでしょう。ネットワークの状況を把握するため、ネットワークを監視する担当者にメールを送り、エンドポイントで見ているアーティファクトがエッジで見た同様のものがあるかどうか、そして意見を求めます。多くの場合はその回答は、ネットワーク担当者の作業量と優先順位によって遅れる可能性があります。そして、ウェブ担当者にも連絡して、彼らが見ているものについても同様に意見を求めます。そこでXDRの登場です。このような情報や洞察が、統一されたダッシュボード上で自動的に提供され、状況認識分析がすでに始まっているとしたらどうでしょう。これにより、コピー&ペースト、メール、電話など、手動で行う作業を減らすことができます。また、複数のデータセットを管理し、それらを理解するための認知的な負担もなくなります。データの収集、トリアージ、初期の調査分析が自動化され、合理化されます。これにより、アナリストは迅速に検証と評価を行うことができます。熟練したアナリストは、経験と直感を駆使して攻撃に対処しますが、すでにこの段階で初期のトリアージ、調査、分析が行われています。また、敵がインフラ全体で不規則な動きをとる場合は、XDRはネットワーク運用部門とセキュリティ運用部門の重要な連携を促進します。 

2.実用的なインテリジェンスがプロアクティブなSecOpsを促進(MVISION XDRの注目すべき点)

仮に、企業のSecOpsが、優先度の高い脅威のインテリジェンスを攻撃者の侵入よりも前に得ることができたと想定すれば、日々のSecOpsのプロセスやポリシーに大きな効果をもたらします。 ハンティング、トリアージ、調査のサイクルが大幅に短縮されます。シンプルに、調査に優先順位をつけ、加速させることができます。 重要な質問に答えることができます。関連するキャンペーンがあれば、すぐに表示されます。 100件以上の高レベルのアラートを受信し、そのうちの1件がヒットする可能性の高い脅威キャンペーンに関連づけられます。 推測による作業を排除し、SecOpsの取り組みに優先順位をつけます。環境を評価し、影響を受ける可能性のあるもの、つまり脆弱な状況にあるものを判断します。さらに、数分で対処にあたれるよう、対策を提案するのが重要なポイントです。 

これにより、セキュリティ担当者は、対応する権限があるのか、防止活動に参加しているのか、などの判断を迅速に下すことができます。防止活動に参加しているか? このトピックは、Ten Strategies of World-class Cybersecurity Operations Centerの戦略3であり、このような決定を行う、または決定に参加する権限をSecOpsに与えることが強く推奨されています。 対応の意思決定や行動に関するポリシーは組織によって異なりますが、MVISION XDRによる綿密な調査と信頼性の高いコンテキストによって、より早く意思決定を行うことが可能です。

3.セキュリティソリューションとITサービスシステムがシームレスに

XDRは、オープンで統合されたプラットフォームです。例えば、SecOpsが特定のシステムの更新をITサービスシステムに自動的に反映させることで、ITシステムにログインしてリクエストを出したり、場合によってはIT部門に電話やメールをしたりする必要がなくなります。これらのポリシーは、通常、手動のプレイブックまたはSOARのプレイブックに反映されます。すべてが統合され、セキュリティ機能が連携することにより対応にかける時間を短縮します。

例えば、電子メールによるフィッシング警告が出た場合、SOARはポリシー/プレイの要求により自動的に他の警告と比較し、注目すべき共通点の有無を確認します。共通点がある場合、複数のアナリストに別々のアラートを配信するのではなく、1人のアナリストに共通のアーティファクトを割り当てます。これにより、調査と対応が効率化され、短時間で対応が可能です。他にも多くの例がありますが、重要なのは、セキュリティ機能を調整する場合、組織は特定の状況下で各機能にどのように行動してほしいか、その状況に対するポリシーは何かを考えなければならないということです。

今回ご紹介した例は、企業がXDRの導入にあたり検討すべき事柄の一部です。当社では、SOCの成熟度を評価し、今後の計画を策定するオンラインSOC監査を行っています。 また、XDRへの対応をテーマにしたウェビナーでは、専門家がXDRの機能を最適化するにあたっての検討事項と解決策をご提案いたします。この機会にご参加いただき、導入をご検討いただければ幸いです。また、SOCのベストプラクティスシリーズであるSOCwiseでは、お客様のSOCの取り組みに役立つアドバイスやヒントを定期的に提供しています。 


最新情報を入手

日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Sec(日本)をフォローし、ポッドキャストHackableをお聞きください。

※本ページの内容は2021年2月16日(US時間)更新の以下のMcAfee Blogの内容を元にしています。
原文:Are You Ready for XDR?
著者: